Analyse par Alexis Chauveau Maulini, Avocat certifié CIPP/E (DS Avocats)

Une sanction Allemande

L’autorité de contrôle allemande (BfDI) a prononcé une amende de 9,55 M€ à l’encontre de la société 1&1 Telecom. Il était reproché à l’opérateur télécom de ne pas avoir suffisamment protégé les données à caractère personnel de ses clients.

Une violation de l’article 32 (« Sécurité du traitement ») du RGPD

Plus précisément l’amende de 9,55 M€ à l’encontre de la société 1&1 Telecom vient sanctionner une violation de l’article 32 du Règlement général sur la protection des données (RGPD), c’est-à-dire un manquement aux obligations qui pèsent sur le responsable du traitement (et sur le sous-traitant) en matière de sécurité des données à caractère personnel.

Concrètement, il était possible d’obtenir des informations sur n’importe quel compte client de la société 1&1 Telecom en contactant le service client par téléphone et en déclinant le nom et la date de naissance dudit client, sans aucune autre vérification concernant l’identité de la personne à l’origine de l’appel téléphonique.

La BfDI a considéré que cette procédure d’authentification n’était pas suffisamment protectrice des données personnelles des clients de la société 1&1 Telecom et caractérisait une violation de l’article 32 du RGPD, puisque cet article impose de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) ».

Retrouvez les dernières sanction au sein de la carte interactive des sanctions de DATA LEGAL DRIVE

Carte des sanctions

Une sanction proportionnée et dissuasive

Une amende de 9,55 M€ à l’encontre de la société 1&1 Telecom, dissuasive mais proportionnée à la violation reprochée

La BfDI a justifié cette amende de 9,55 M€ à l’encontre de la société 1&1 Telecom par sa volonté de prononcer des sanctions qui soient dissuasives – afin de garantir le respect de la réglementation en matière de protection des données à caractère personnel – et proportionnées au manquement reproché, autant de conditions qui sont prévues par l’article 83.1 du RGPD.

Dans le même temps l’autorité de contrôle a relevé la parfaite coopération de la société 1&1 Telecom dans le cadre de l’instruction de l’affaire, et en particulier le fait que des mesures correctrices aient été mises en place rapidement pour palier le manquement reproché.

L’opérateur Télécom a été néanmoins sanctionné au motif (notamment) que le manquement concernait l’ensemble de sa base de données clients – au demeurant très importante – et que le risque sur la confidentialité des données pesait sur l’ensemble des clients et non sur une partie restreinte d’entre eux.

La société 1&1 Telecom a fait savoir qu’elle intenterait un recours à l’encontre de cette sanction dont le montant lui parait excessif. Il sera intéressant de vérifier dans quelle mesure les juges saisis confirmeront, ou au contraire infirmeront, le quantum retenu et donc son caractère proportionné ou pas au regard des faits reprochés.

Les sanctions du RGPD

Découvrez les différents type de sanctions applicables par le RGPD

Découvrir